مقابلات تقنية

مقابلة مع الباحث الأمني المصري إبراهيم حجازي


سنبدأ اليوم بسلسلة جديدة هدفها التعريف بالشباب العربي الناشط تقنيا على الإنترنت في جميع مجالات التقنية, حيث سنقوم بشكل مستمر بإجراء مقابلات مع شخصيات عربية تقنية شابة لها أثر واضح من حيث الخبرة و من حيث اثرائها للمحتوى العربي التقني.


1- اخ ابراهيم, سنبدأ معك بالسؤال التقليدي وهو ان تعرفنا بنفسك؟


إسمي إبراهيم حجازي أسكن كوكب الأرض منذ عقود 😀 أعمل في مجال أمن المعلومات منذ ٨ سنوات تقريبا, متخصص في مجال إختبار الإختراق للمواقع والشبكات وبفضل الله تاريخ طويل من الثغرات ما يقرب من اربعين ثغره في Yahoo و١١ ثغره في Barracuda و٧ في Google و ٤ في Microsoft و ٢٣ في Magento & Paypal وغيرهم .

أيضا كنت متحدثا عن الحرب الإلكترونية في الشرق الأوسط في مؤتمر Cairo Security Camp وضيفا في أكثر من لقاء تلفزيوني.

2- الكثير من الشباب العربي المهتم بأمن المعلومات يستفسر و بشكل كبير عن كيفية الدخول في هذا المجال من مجالات التقنية, لذا حبذا لو تعرفنا على تجربتك في مجال أمن المعلومات و كيف بدأت بها؟

كانت بدايتي من خلال دراسة شهادة ال RHCT وعملت بعدها في أحد شركات الإستضافه كمدير لسيرفرات الشركة, وبعد وقت حدثت إختراقات علي بعض السرفرات فقررت التوجه لمجال أمن المعلومات لأفهم كيف تحدث تلك الإختراقات وكيف أستطيع وقفها. من هنا كانت البداية, إنطلاقا بمجال ثغرات تطبيقات مواقع الإنترنت ومرورا بأمن وإختبار إختراق السرفرات والشبكات.

أعتقد انه إن شاء الله هذا المقال سيكون مفيدا لمن يريدون أن يبدأون في ذلك المجال: رابط المقال


3- انا كمهتم بأمن المعلومات لدي معرفة كبيرة حول ثغرات امنية خطيرة قمت بإكتشافها في شركات كبيرة مثل ياهو و جوجل و غيرها, فهل يمكنك اخبارنا بأبرز هذه الإكتشافات؟

أبرز الثغرات التي إكتشفتها كانت في شركة الياهو و Paypal وكانت ثغرات من نوع Remote Command Execution و Remote Code Injection و SQL Injection حوالي ٧ ثغرات من هذا النوع. استحققت عليها بفضل الله أن يتم تصنيفي أعلي قائمة أفضل ١٠ باحثين أمنين للياهو لعدة شهور متتالية وكذلك الوضع مع شركات اخري.


4- جميعنا نعلم بأنه اثناء قيامنا بأي عمل او مشروع نتعرض لبعض الأمور المضحكة و التي لا يمكن لنا ان ننساها او ان تزول من ذاكرتنا, فهل حدث مثل هذا الأمر معك اثناء اي عملية من عمليات اختبار الإختراق التي قمت بها؟؟ وماهي ان امكن؟؟

أحد الشركات التي أقوم بعمل إختبار إختراق لها بشكل دوري, طلبت مني أن اعطي كورس توعية أمنية لبعض موظفيها الغير تقنيين, وبما أنهم غير تقنيين فتكون المحاضرات في الغالب عباره عن نصائح أن تفعل كذا ولا تفعل كذا, وبالطبع تحدثت عن كيف تختار كلمة مرور صعبة, وبعد انتهاء المحاضرة جاء لي أحد الموظفين وقال انا لا يمكنني تذكر كلمة مرور صعبه لذلك كلمة مروري ١٢٣٤٥٦ فأخبرته كيف يختار كلمة مرور صعبه وتكون سهلة الحفظ.


في اليوم التالي ذهبت لمكتب هذا الشخص لأري ماذا فعل, فوجدت ورقه معلقه علي مكتبة في مكان ظاهر ومكتوب عليها رقم هاتفه + سنة ميلاده ومكتوب تحتها “الباسورد الجديد” 😀 .

من الطريف أيضا أنه بعد إكتشافي لثغرة RCE في موقع الياهو, قامت شركة الياهو بطرح إسمي مرتين في لوحة الشرف لديهم في قائمة أفضل عشر باحثين أمنين لهذا الشهر! مره بإسم Ebrahim Hegazy ومره بإسم Zigoo, يمكنكم رؤيتها علي الصفحه التالية: لوحة شرف موقع ياهو

وعندما راسلت الشركة وقلت لهم أن إسمي موجود مرتين في نفس الشهر قالو نعلم ذلك 😀 ولم أدري إلي الآن ما السبب!


5- الكثير قرأ الخبر الذي تحدث عن احصائية لأكثر الدول في العالم والتي قام الباحثين الأمنيين فيها بإكتشاف ثغرات في شبكة فيسبوك الإجتماعية خلال العام 2014 و كانت جمهورية مصر العربية في المرتبة الثانية بعد الهند. انت كخبير و باحث امني كيف ترى هذا التطور العربي الكبير في هذا المجال؟

أكون سعيدا عندما أجد إنتشار من الشباب العربي في هذا المجال حتي وإن كانت الخبرات بسيطة لكنها تأتي مع الوقت المهم أنهم بدأو في ذلك, وكان تركيز المصريين السنة الماضيه أكثر علي الفيس بوك لانه يستخدم بشكل يومي وبالتالي نعرف خباياه والصفحات التي لم يبحث فيها أحد من قبل.


أما الهنود فهم كيأجوج ومأجوج لا يتركون أخضرا ولا يابسا في أي Bug Bounty Program يفتح أبوابه للباحثين, فيتركونه قاعا صفصفا لا تري فيه عوجا ولا أمتا! 😀


6- استكمالا للسؤال السابق, من الملاحظ توجه الشباب العربي بشكل كبير لإكتشاف الثغرات في المواقع العالمية المعروفة, في المقابل فإننا نلاحظ عدم توجهه لمجالات امن المعلومات الأخرى مثل تطوير انظمة الحماية و ادوات اكتشاف و استغلال الثغرات بنفس الكم, فما هي الأسباب التي أدت الى ذلك من وجهة نظرك؟؟

هذا لسهولة اكتشاف الثغرات في المواقع العالمية, لو أنك بحثت وراء هذه الإكتشافات التي تتحدث عنها فستجد ٩٩ في المائه منها عبارة عن ثغرات Logical Bugs من نوعية تغير ال ID الخاص باليوزر فتفعل شئ ليوزر مختلف! وثغرات XSS يقومون بنسخ أي payload يقوم بعمل alert(1) ويقومون بكتابته في أي parameter or form يقابلهم!


كذلك الأمر مع ثغرات ال open redirection وال CSRF, هذه الثغرات من رأيي لا تجعلك باحث أمني من الأساس بل مجرد شخص حفظ بعض الأشياء أو تعلم إستخدام بعض الأدوات وضل يطبقها في كل مكان!


هذا هو السبب في الظهور السريع لأشخاص كثيرين من غير ذوي الخبرة في هذا المجال, كما قلت لك أخي أكون سعيدا بظهور أي شخص في هذا المجال لكن أتمني أن يطورو أنفسهم ولا يقفوا في هذه النقطه لمجرد أن اسمائهم يتم نشرها علي مواقع عالمية.


7- خلال السنوات الماضية كنت احد الفاعلين في مؤتمر Cairo Security Camp ابتداء من مشاركتك في احد الفرق في مسابقة التقاط العلم (Capture The Flag) وفي آخر نسخة من المؤتمر قبل عدة أشهر كنت احد الذي قاموا بتجهيز المهام لهذه المسابقة, هل يمكنك ان تحدثنا عن هذه التجربة؟

كانت بدايتي مع Cairo Security Camp في عام ٢٠١٢ عندما كنت محاضرا عن الحرب الإلكترونية في الشرق الأوسط وكنت أيضا أحد المشاركين في الفريق الذي حصد المركز الثاني في مسابقة Capture the flag لنفس العام.


أما في عام ٢٠١٤ فقد ساهمت بكتابة أحد التحديات لمسابقة Capture The Flag يمكن للقراء أن يجدوا التحدي والحل علي الرابط التالي: رابط التحدي

 

1510977_821947794507710_8140145114256690575_n
 

صورة في مؤتمر Cairo Security Camp 2012

8-تحدثنا عن مشاركتك و تجربتك في مؤتمر Cairo Security Camp وعلى ما أذكر هو المؤتمر العربي الوحيد المهتم بأمن المعلومات. لماذا لا يوجد في الوطن العربي مؤتمرات أخرى مهتمة في مجال امن المعلومات, او على الأقل مؤتمر واحد يتم عقده كل مرة في دولة عربية بحيث يكون فيه فائدة أكبر للعرب و للمحتوى العربي الأمني؟؟ وماهي الصعوبات التي يمكن ان تواجهها افكار مثل هذه الفكرة؟

مؤتمر Cairo Security Camp ليس الوحيد في الوطن العربي لكن هو الأول من نوعه, يوجد مؤتمرات اخري في أمن المعلومات يتم إنعقادها في الإمارات وفي عمان.


شخصيا من وجهة نظري أري أنه أغلب الدول العربية تسعي لتطوير قدراتها في مجال أمن المعلومات لذا لا أري أي صعوبة في وجود مؤتمرات لأمن المعلومات في الدول العربية غير مشكله واحدة وهي المبادرة. أن يبدأ أحد ويأخذ الخطوة وهذا هو الشئ الوحيد الناقص!


ففي الجزائر إنعقد مؤتمر لأمن المعلومات وكذلك عدة مسابقات Capture The Flag ولم ينتظرو دعم حكومي! وفي مصر مؤتمرات تكنولوجية قام بعملها شباب الجامعات مثل جامعة المنصورة ولم ينتظروا دعم حكومي! الفكرة كما قلت لك أخي هي المبادرة, أن نأخذ خطوه.


9- كيف ترى واقع أمن المعلومات العربي من جهة كل من الحكومات العربية و الشركات العربية التي تعمل في مجال أمن المعلومات, حيث ان اغلب الشركات العربية تهتم فقط ببيع والترويج لمنتجات الشركات الأمنية العالمية من مكافحات فايروسات و أنظمة حماية الشبكات و غيرها دون الإهتمام بمجال إختبار الإختراق وادارة الثغرات؟؟

أري أنك قمت بالإجابة علي السؤال بنفسك, أمن المعلومات بالنسبة للشركات يعني أنك تشتري Firewall علي برنامج لل Logs Monitoring مع برنامج أنتي فيروس وبذلك أصبحت مأمن!!


وهذا طبعا شئ ما أنزل الله به من سلطان وليس له علاقة بالمفهوم الصحيح لأمن المعلومات, لكن الوضع إختلف كثيرا مؤخرا بعد الاختراقات التي حدثت ضد المؤسسات والشركات والمواقع الحكومية العربية مؤخرا.


أرى أن نقطة التحول كانت بسبب فيروس شمعون الذي ضرب شركة راس جاز القطرية وتسبب في أضرار تعد بالملايين, ومنذ وقتها بات أمن المعلومات بمثابة الهوس للشركات كي لا يحدث نفس السيناريو لديها, وقامت البنوك المركزية في أغلب البلدان العربية بطرح تعليمات لجميع البنوك داخل البلد بوجوب عمل اختبار إختراق بشكل دوري وفرض أنظمة أمنية مشددة لمراقبة شبكاتهم ومواقعهم بشكل دوري, بالطبع يبقي نسبة كبيرة من المواقع الحكومية غير مبالية بما يحدث لكن التغير قد بدأ وسيطالها عاجلا أم آجلا.


10- من رأيك هل المحتوى العربي التقني في مجال أمن المعلومات غني بالمشاركات؟ وماهي الصعوبات التي تواجه المحتوى التقني العربي الأمني بشكل خاص و غيره من مجالات التقنية بشكل عام؟ وهل هنالك مشاريع عربية تجد أنها جيدة بحيث يقوم الشباب العربي بمتابعتها لكي يدخل في هذا المجال؟

نعم المحتوي التقني العربي ممتاز لكن قراءه قليلون, فالأغلبية تلجأ للقراءة من المواقع الأجنبية لوفرة المعلومات والنقاشات السليمة فيها. أما عن مشكلتنا في الكتابة للمحتوي العربي فهي النقاشات الغير مجدية! فتجد أحدهم يكتب موضوع ممتاز جدا ولا غبار عليه ولكنك تجد التعليقات علي هذا الموضوع ما بين تعليقات محبطة وما بين نقاشات عقيمة عن غير علم مما يحبط الكاتب.


اما عن المشاريع التقنية العربية فهي كثرة وممتازة ما شاء الله, لا يسعني حصرها هنا لكني سأنشر بعضها حتي يستفيد ويتابعها القراء:


Isecur1ty.org, Security4Arabs.com, th3professional.com, AITnews.com, Sec4ever.com, Technawi.net, Cyberkov.com, Networkset.net, At4re.com, arabteam2000-forum.com

وغيرها الكثير والكثير.


11- العديد من المواقع العربية الكبرى عندما يتم اكتشاف ثغرات فيها فإنها اما ان لا تقوم بالإجابة على رسائلك او انها لا تقدر خطورة و اهمية مثل هذه الثغرات و هذا ما حصل مع بعض الأصدقاء. فما هي نصيحتك للمواقع العربية الكبرى سواء الحكومية او غيرها؟؟

أظن ان هذا قليلا ما يحدث, فقد قمت بالإبلاغ عن ثغرات عديدة لمواقع عربية كبيرة وكانت الإستجابة تتم سريعا ويشكروني بعد إغلاق الثغرات, لكن ربما السيناريو الذي تتحدث عنه يتم مع المواقع الحكومية لقلة الإهتمام بها, ولكن في حالة وجدت ثغره في موقع حكومي عربي ولم تستطع التواصل مع مديرين الموقع فالأمر بسيط, قم بالبحث عن ال CERT التابع لهذه البلد وهو فريق حكومي مكون من تقنيين وخبراء في أمن المعلومات وموجود في كل بلدان العالم, وظيفة هذا الفريق هو الإستجابة لمثل هذه الحوادث والثغرات.


فمثلا إذا وجدت ثغرة في موقع حكومي سعودي ولم تعرف لمن تبلغها فيمكنك تبليغها من خلال موقع cert.gov.sa و في مصر: egcert.eg في عمان من خلال: cert.gov.om وفي قطر من خلال qcert.org وفي تونس cert.nat.tn وفي الإمارات aecert.ae والمزيد. فكما قلت لك يوجد فريق في كل بلد في العالم.


سعدنا جدا بهذه المقابلة أخ ابراهيم و نرجوا من الله سبحانه و تعالى ان ينفع بك الأمة العربية و الإسلامية و ان يكون علمك من باب العلم النافع الذي ينفع الناس..


أي اضافات أخرى او نصائح ترغب بتوصيلها للشباب العربي المهتم بأمن المعلومات؟

جزاك الله خيرا أخي محمد, لا أرى نفسي في موضع من ينصح وأرى نفسي أقل من ذلك لكني أرى والله وأعلم أن الحل لأغلب مشاكلنا يكمن في ترك النقاشات العقيمة وعدم المجادلة فيما لا نفهم, فهناك فرق كبير بين السؤال للإستفسار والمعرفة وبين الجدال لإظهار أنك صاحب علم والباقين جهلاء, فحينها تكون أنت الجاهل بل وتعطل الباقين عن الفهم, ثانيا إجعل عملك دائما خالصا لوجه الله وإحتسبه لنفعة المسلمين حتي تثاب عليه ويبارك الله لك فيه.

شكرا لك مرة أخرى أخي ابراهيم على وقتك الثمين الذي وهبتنا جزءا منه لاتمام هذه المقابلة و نرجوا من الله سبحانه و تعالى ان يكون لنا لقاءات أخرى قريبا سواء عن طريق الإنترنت او لقاءات شخصية فنحن في موقع تكناوي.نت نتشرف بالشباب العربي المميز من أمثالك.

بهذا أصدقائنا الأعزاء نكون قد انتهينا من اولى مقابلاتنا التقنية, انتظرونا قريبا مع مقابلة جديدة و حصرية مع احدى الشخصيات التقنية العربية والتي ستكون مفاجأة لكم بعون الله تعالى.


اذا كانت هنالك اي شخصية عربية تقنية ترغبون بأن نقوم بإجراء مقابلة معها فلا تبخلوا بطرح اسمها هنا في الموقع.

 

هل أعجبتك هذه التدوينة ؟ قم بلإطلاع على المقالات السابقة لنا.

مقالات سابقة :

[list type=””]

محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

‫6 تعليقات

  1. السلام عليكم أخي
    بارك الله فيكم و في مجهوداتكم
    و حقيقة الاخ ابراهيم من الناس اللدين احترمهم و فيه شئ جميل أتمنى لو تكون في الكثير من الاخوان الكتاب هو أنه ادا كتب في أمر معين يكتب يعطي فيه كل ما عنده و يدفعك للبحث فيه …
    شكرا لك أخي محمد على الاستضافة و نشوفوا ضيوف مستقبليين لاحقا و ياريت تفتحوا لنا من قبل الخط لكي نسأل نحن أيضا و توصلون أسألتنا لهم
    تحياتي و احترامي لكم

    1. وعليكم السلام و رحمة الله و بركاته,

      نشرنا موضوع ليلة أمس حول اي سؤال لشخصيتنا التي سنستضيفها بعد ايام 🙂

      يرجى اضافة الأسئلة على المنشور 🙂

  2. السلام عليكم ورحمة الله وبركاته:

    مقال اكثر من رائع بارك الله في مجهوداتكم وكذلك بالمهندس ابراهيم حجازي.

    الرابط للشهادة التي اخذها من شركة الياهو لم يعمل معي لا اعلم لماذا، لا اشكك بمصداقية الموقع او المهندس ولكني كنت اريد الافتخار بان ارى اسم مسلم مكرم.

    بارك الله فيكم وفي مجهوداتكم ووفق المهندس ابراهيم لكل الخير والسعادة في الدارين الدنيا والاخرة وكذلك القائمين على الموقع

  3. السلام عليكم ورحمة الله وبركاته …
    أولا اثمن مجهودك الكبير اخي محمد وجزاك الله عنا كل خير في كم المعلومات المفيدة هذه ،، اتمنى منكم اجراء مقابلة مع الاخ امين رغيب وهو غني عن التعريف في المغرب العربي وايضا اقترح اسم الحسين مزياد ايضا من المغرب الشقيق وشكرا جزيلا.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

1 × one =

إغلاق